Un rapport des chercheurs du laboratoire de virologie et de cryptologie de lEcole supérieure et d’application des transmissions (Esat), dirigé par le lieutenant?”colonel Eric Filiol, aura fait couler beaucoup
d’encre cet été. Il aura également été sujet à quelques confusions et mauvaises interprétations. Son thème ? La sécurité d’OpenOffice.org (OOo), la suite bureautique libre concurrente de Microsoft (MS) Office.Pendant un an, les chercheurs de l’Esat ont étudié les défaillances potentielles au niveau conceptuel et algorithmique d’OOo 2.0.x. En aucun cas, ils n’ont cherché à bâtir des attaques sur des vulnérabilités,
d’où l’intérêt de ce travail de fond. Les résultats sont très intéressants. Oui, OpenOffice connaît bien des problèmes de sécurité dont certains sont qualifiés d’importants. Non, l’étude ne remet pas en question
l’emploi d’OpenOffice dans les ministères ou organisations d’Etat (tels le ministère de la Défense ou la Direction générale des impôts).
Une mauvaise gestion des macros
L’un des points mis en avant est la mauvaise gestion des macros. Elles peuvent s’exécuter automatiquement sans l’accord de l’utilisateur, et cela, quel que soit le niveau de sécurité défini pour les macros.Sur ZDNet.fr, Eric Filiol a précisé sa position : ‘ Les conclusions de ce rapport ne signifient nullement qu’il faut cesser le déploiement d’OpenOffice dans les administrations ou les
entreprises. Elles mettent juste en exergue le fait que, pour le moment, elle doit faire l’objet d’une politique de sécurité adaptée. De fait, nous sommes dans la situation de 1995 quand MS Office s’est révélé conceptuellement
très faible face aux macrovirus. Je pense qu’un des correctifs récents concernant les macros a été inspiré par les premiers contacts. Cela va donc dans le bon sens. ‘Il ajoute qu’il faudra aussi que les antivirus évoluent pour une parfaite prise en compte des documents ODF (OpenDocument format). Pas de quoi remettre en cause le choix d’OOo, bien au contraire.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.